先是在11月24日的时候,发现了一个号称可能是计算机历史上最大的漏洞,被一顿猛夸。
结果就在最近,因为发现漏洞这事,阿里云被工信部一顿猛锤。
最后阿里云被暂停工信部网络安全威胁信息平台合作单位6个月。暂停期满后,根据整改情况,看是否要恢复其上述合作单位。
事件一出,各方声音此起彼伏,甚至向来稳妥的工信部还有点“翻车”。
发现漏洞怎么还被罚了?把漏洞上报给开源社区是业界惯例,这有错吗?报告给工信部,工信部能够修复漏洞吗?
难道阿里云这次有点冤吗?
首先,这到底是什么样的漏洞?
阿里云发现的是Apache(阿帕奇)的开源项目log4j里的一个漏洞,攻击者只要提交一段代码就可以进入对方服务器。
这风险有多大呢?
就举个例子,假如阿里被攻击,这支付宝里的钱安不安全就另说了。
这个漏洞致命的地方在于门槛太低,一般人只要按照简单的指令操作,都可以利用这个漏洞入侵到服务器中。
还有在火狐浏览器里输入带${的特殊格式请求,能够直接劫持网页(当然,现在肯定不行了)。
利用这个漏洞,攻击者可以随时获取敏感数据。
这可不是什么小事。
从11月24日发现漏洞到12月9日,工信部才知道这个漏洞的存在。
网络安全,比的就是速度,看谁能最先发现漏洞。
直到12月10日,网易、斗鱼、新浪、京东等企业才发出了暂不接收Log4j远程代码执行漏洞的通知。
于情,阿里云这波并不冤。
于理,指责工信部,站队阿里云更是毫无道理可言。
阿里云向阿帕奇通报漏洞本身没什么问题,向软件开发方上报漏洞也是行业惯例,这是阿里云的责任和义务。
但阿里云自己可是工信部网络安全威胁和漏洞信息共享平台的合作单位。
既然是合作单位,那么发现漏洞并上报也是阿里云的责任和义务。
关键是在2021年7月12日,工信部、网信办和公安部联合下发了《关于印发网络产品安全漏洞管理规定的通知》(下简称《通知》)。
《通知》中的第七条当中的第一项和第二项规定当中明明确确指出:
阿里云就没做到。
阿里云被罚,归根结底只是没有遵守规定,没有各种“惊天大阴谋”。
不过当初工信部建立这个共享信息平台的目的就是发现漏洞可以让合作单位及时上报,防止网络安全威胁与信息的泄露。
不上报的话,这个平台意义在哪里?
在这件事上,黑马是不太能理解维护阿里云的观点,于情于理,阿里云都丝毫不占优势。
事后阿里云也进行了回应:
“阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。”
最近国际权威机构Gartner发布了一个报告,阿里云在计算、存储、网络、安全四项核心评比中均斩获第一。
一个这么多头衔的技术企业,会不知道这个漏洞的严重性吗?